2026年1月～2026年3月に開催した「新規申請を目指す事業者のためのプライバシーマークセミナー 事例紹介編」でお話いただいた内容をまとめました。

会社概要

株式会社ＦＬＵＸ

• 所在地：東京都港区赤坂9-7-1 ミッドタウン・タワー 24階
• 設立：平成30年5月2日
• 主な事業：AIコンサルティングサービス、人材紹介サービス
• プライバシーマーク取得：2024年10月
  登録番号：10825310（01）
• 登壇者：
  執行役員 VpoE　西村 隆宏様（個人情報保護管理者）
  Corporate Design本部　藪木 健吾様(申請担当者)

講演レポート

プライバシーマーク取得の目的

当社は「日本経済に流れを」をミッションに掲げ、AI関連サービス、人材紹介サービス事業を展開しているスタートアップ企業です。BtoB事業を主として、DX領域、マーケティング領域、HR領域でサービスを提供しており、事業の核としてAIを活用した事業展開をしております。

プライバシーマーク取得の目的は、大きく分けて2点あります。1点目は、ガバナンス強化です。事業規模がまだ小さい段階から、金融業界のクライアントとの取引や、官公庁への入札を想定していたため、すでに取得していたISMS認証と併せて、プライバシーマーク取得により社内ガバナンスの強化を図り信頼性を高めることが必要と考えました。

2点目については、クライアントからのセキュリティチェックにかかる工数の削減です。特に大企業との取引においては、クライアント側からセキュリティチェックシートの提出を求められるケースがあります。プライバシーマークやISMSを未取得の場合、確認項目が増加し、対応工数が大きくなる傾向があります。一方で、これらの認証を取得している場合には、チェック項目の一部が簡略化されることがあり、取引に至るまでの対応負荷が軽減できると考えました。
これらを目的として、今後の事業の見立てを踏まえ事業が伸長する前の段階でプライバシーマークを取得する判断に至りました。

取得までのスケジュール

次に、取得までのスケジュールをご紹介します。

2023年3月に取得の意思決定をしました。その後、実際の申請までの準備期間に約9カ月要しております。現地審査後の指摘事項への改善対応など含め、取得の意思決定から、取得までにはトータル約18カ月の期間を要しました。

自力取得の判断と社内体制の構築

取得にあたっては、外部コンサルティング業者の利用も検討しました。
まずは、外部委託に関わるコストやサービス内容の調査を実施したところ、様々なサービスの形態があり利用するサービスによって費用が大きく変わることが分かりました。次に、プライバシーマークを自力で取得した他企業へのヒアリングを行いました。ヒアリングの中で、コンサルティング業者を利用しない場合の業務フローや対応内容を把握し、自社と照らし合わせて自力取得が可能かどうかを検討しました。
さらに、取得までに時間的猶予があったという点も踏まえた上で、総合的に判断した結果、当社では自力での取得へ踏み切りました。

社内体制の構築においては、今回登壇した2名が中心となりました。困難は多かったですが、PMS構築の理解はより深まったと感じております。

取得に向けたファーストステップ

一番初めに実施したことは、プライバシーマーク取得にあたっての全体像の把握をすることでした。関連書籍やコンサルティング業者が執筆した書籍、JIPDECが公開しているYouTube動画を併せて参照し、まずは全体像を把握しました。

次に、審査基準の理解を目的としてJIPDECが執筆したガイドブックを担当者それぞれ1冊ずつ購入し重点的に読み込みました。また、規定類についてはひな形が掲載された書籍を参考にしつつ、審査要件と既存の規定や業務フローとの整合性を意識しながら、社内規定の策定を進めました。
初期段階で十分なインプットを行い、知識の土台を整備できたことが、規定類策定をする上で有効であったと考えております。

自力取得に向けた取り組み

ここからは実際の取り組みにあたって対応に苦慮した点と、当社での自力取得の推進要因となった点をご紹介します。

規定策定・改定プロセスの負荷

当社では、社内規定の策定・改定は取締役会での上程を必須としております。今回のPMS構築にあたっての規定策定や見直しについても、社内の合意形成に約1か月を要したうえで、取締役会に上程し承認を得る必要がありました。さらに、承認後に内容の修正が生じた場合には再上程が求められることから、意思決定プロセスが繰り返し発生する構造となっていました。そのため、関係者への説明機会が増加し、説明対応の煩雑化と、それに伴う時間的コストの継続的な発生に苦慮しました。

個人情報管理台帳の作成

個人情報管理台帳の作成にあたっては、「個人情報」の認識を各部署で統一させることと、各部署はどのような個人情報を持っているのか、という個人情報の洗い出しと整理に工数を要しました。
形式的なものではなく、実務レベルで各部署は個人情報を何件所有していて、どこに保管されているのかを把握するために、当時の労務担当、情報システム担当、各事業部担当者と何度もミーティングを開き、共通認識を持ったうえで、管理台帳に落とし込んでいく、というプロセスを経て対処しました。

ホームページへの掲載内容の調整

会社ホームページのレイアウトは、マーケティング部門でユーザーからの見やすさ等を重視して作成していました。PMS構築の観点では、ホームページから個人情報を取得する場合、個人情報の取扱いに関する事項を明示し、本人から同意を得るための同意文の提示が必要になります。
社内のマーケティング部門からは、提示する情報量が多くなることで、ユーザーからのコンバージョン率が低下する可能性がある、という懸念が示されました。この点に関しては、マーケティング部門にPMSの理解を促し、PMS構築の観点と、ユーザーインターフェースの両立を図るよう調整していきました。

取得を後押しした要因

これまでお話したとおり、PMS構築にあたっては困難もありましたが、プライバシーマーク取得を後押しした要因もありました。
一つは、個人情報に関する基本的な知識をすでに持っており、勉強に必要な時間が少なく済んだことです。
また、ISMS取得済みであったため、安全管理措置の土台は整備済みであったことも寄与しています。
さらに、事業規模がまだ小さい段階でプライバシーマーク取得の意思決定とアクションを起こしたことで、取り扱う個人情報の件数が比較的少なく、結果として体制整備に係る負荷を相対的に低く抑えることができました。
これらの要因も相まって、困難を乗り越えることができたと考えております。

自力取得を振り返って

今回自力取得を実施してよかった点として、取得に向けた費用面では、コンサルティング業者への委託費用が削減でき、コスト軽減につながった点です。特にスタートアップでの取得という状況では、費用は抑えていきたいという観点からも、自力取得という判断は正解だったと考えております。
また、PMS構築の観点においても、自力での取得によって、社内へより深く浸透させることができたという利点がありました。PMSを必死に自分たちで学ぶという姿勢もできましたし、現地審査での審査員からの指摘事項から学ぶことも多く、納得度の高い状態で取り組みを推進することができました。何より、結果として、意識面も含めPMSを組織内に浸透させることができたと考えております。
プライバシーマーク取得を検討する際には、今回のセミナー内容が何か参考になれば幸いです。

以上が当社、株式会社FLUXのプライバシーマーク取得事例になります。ご清聴ありがとうございました。

• 講演レポート一覧